Преди да направите нещо с правилата, трябва да конфигурирате мрежовите интерфейси по човешки, така че кой не е чел статията ПРАВИЛНИ настройки на DNS и мрежови интерфейси !!! , направи го сега.

Всичко по-долу е тествано на KWF версия 6.2.1, но ще работи на всички версии на 6.xx, за следващите версии, ако има промени, тогава не мисля, че са значителни.

И така, мрежовите интерфейси са конфигурирани, Kerio Winroute Firewall е инсталирана, първото нещо, което правим, е да отидем на Конфигурация> Политика за трафик и да стартираме съветника. Дори ако вече сте го стартирали преди. Правим го правилно, нали?

1. С първата и втората стъпка на съветника всичко е ясно, на третата избираме външния мрежов интерфейс (интернет интерфейс, съветникът почти винаги го дефинира правилно).

2. Следва четвъртата и най-важна стъпка.
По подразбиране KWF предлага опцията „Разрешаване на достъп до всички услуги (без ограничения)“, но! Постоянно сме изправени пред факта, че такива правила на KWF обработват, меко казано, странно, проблеми с услугата ВСЕКИпрез цялото време.

Затова избираме втория вариант, Разрешете достъп само до следните услуги... Няма значение, че KWF вероятно ще ви предложи малко по-различни услуги, от които се нуждаете, но всичко това може да се добави или премахне по-късно.

3. На петата стъпка създаваме правила за VPN, тези, които не се нуждаят от тях, могат да премахнат галките. Но отново, можете да направите това по-късно, ако не сте сигурни.

4. Стъпка 6 също е доста важна. Тук създаваме правила за тези услуги, които трябва да бъдат достъпни отвън, от Интернет. Съветвам ви да добавите поне няколко услуги, тогава ще ви бъде по-лесно да видите как е изградено такова правило.
Например:

Администраторска услуга на KWF на защитна стена
RDP услуга на 192.168.0.15

5. Стъпка седма, разбира се, включваме NAT, дори който не се нуждае от него (малко вероятно, разбира се), винаги можете да го изключите.
В осмата стъпка щракнете върху Готово.

Оказва се, че имаме нещо подобно:

Малки обяснения за тези, които не искат да четат ръководството:
Правилото NAT- всъщност съдържа онези услуги, на които е разрешен достъп до Интернет от клиентски машини.
И правилото Трафик на защитната стена- това е правилото за автомобила, на който стои KWF.
Червените правила по-долу са за достъп до услуги със същото име от Интернет.

По принцип вече можете да работите, но трябва да конфигурирате малко KWF, така че по-нататък:

6. Правилото Местен трафикпреминаваме към самия връх, тъй като правилата се обработват отгоре надолу и тъй като локалният трафик обикновено преобладава над останалия, това ще намали натоварването на шлюза, така че да не прокарва пакети от локален трафик през цялата таблица с правила.

7. В правилото Местен трафикДеактивирайте Protocol Inspector, задайте го на Нито един.

8. Премахваме ненужните услуги от правилата за трафик на NAT и защитната стена и съответно добавяме необходимите. добре, например ICQСъветвам те да помислиш какво добавяш и премахваш.

9. Понякога за някои услуги се изисква отделно правило, защото заедно с останалите започват неразбираеми проблеми. Е, по-лесно е да проследите как работи, разбира се, като зададете регистрирането на това правило.

Няколко бележки:

10. Ако искате да можете да пингвате външни адреси от клиентски компютри, добавете услугата Пингв правило NAT.

11. Ако изобщо не използвате VPN, деактивирайте VPN сървъра (Конфигурация> Интерфейси> VPN сървър, щракнете с десния бутон> Редактиране> премахнете отметката от Активиране на VPN сървър).
Можете също да деактивирате Kerio VPN интерфейса.

12. Ако използвате родителски прокси, добавете съответния порт към правилото за трафик на защитната стена (ако стандартният порт е 3128, тогава можете да добавите услугата HTTP прокси). И тогава трябва да премахнете поне HTTP и HTTPS услугите от правилото NAT.

13. Ако трябва да дадете достъп до Интернет на група потребители или IP адреси, тогава създайте правило, подобно на NAT, само че като източник не е локалният интерфейс, а вашата група.

По-долу е даден пример, повече или по-малко подобен на реалността (моят е естествен, но не съвсем).

Пример.
Цел: да се разпространява интернет до всички компютри в мрежата с помощта на непрозрачен прокси, да се разреши ICQ и FTP на избрани групи и да се изтегля поща чрез POP3 до всички. Забранете изпращането на писма директно в Интернет, само чрез пощенска услуга. Направете този компютър достъпен от интернет. Е, вземете предвид бележките естествено.
Ето правилата, готови веднага:

Кратки обяснения на правилата:
Местен трафик- до самия връх, както вървяха.
NTP трафик- правило за синхронизиране на времевия сървър (192.168.0.100) с точни източници на време в Интернет.
ICQ трафик- правило, което позволява на потребителската група „Разрешаване на ICQ Group“ да използва ICQ.
FTP трафик- правило, което позволява на потребителската група "Разрешаване на FTP група" да изтегля файлове от FTP сървъри.
NAT за всички- остава малко от NAT (влизаме в интернет чрез прокси), само безплатна поща и пинг на интернет са разрешени за всички потребители на мрежата.
Трафик на защитната стена- с това всичко е ясно, разрешени услуги за защитната стена. Моля, имайте предвид, че тук е добавена услугата SMTP (ако пощенската програма не е на същия компютър като winrout, трябва да направите отделно правило) и порт 3128 за родителския прокси сървър.
Сервизен пинг- правилото, необходимо за пинг на нашия сървър отвън.
Отдалечен администратор- правило за външен достъп до конзолата KWF и KMS, до техния собствен уеб интерфейс.
Услуга Kerio VPN- правило за достъп от външни Kerio VPN клиенти.
Услуга Win VPN- правилото за достъп отвън от клиентите на родния Windows VPN
Услуга RDP- правило за достъп отвън от клиентите на винтовия терминал (но по-добре през VPN).

Разглеждаме трите най-често срещани случая:

1. Peer-to-peer мрежа, без домейн, или по-скоро без DNS сървър, отделна машина с инсталиран Winroute се използва като шлюз към Интернет;
2. Мрежа с домейн, DNS сървърът е разположен на DC (домейн контролер), отделна машина с инсталиран Winroute се използва като шлюз към Интернет;
3. Мрежа с домейн, DNS сървърът е на DC, Winroute също е инсталиран на този DC.

Третият вариант категорично не се препоръчва от съображения за сигурност и здрав разум, но за съжаление се използва доста често в малки мрежи, където домейнът вече съществува, но вече няма пари. Във всеки случай няма да разглеждаме този вариант, тъй като е настройките не се различават от втората опция, с изключение на това, че името и адреса на DNS сървъра са същите като името и адреса на компютъра Winroute, съответно.

Във всеки случай има компютър с две мрежови карти (едната вътрешна - гледа към локалната мрежа, другата външна - съответно към Интернет), който играе ролята на шлюз, през който ще имаме достъп до Интернет, и на която естествено ще бъде инсталирана защитната стена на Kerio Winroute.
Не забравяйте, че адресите на тези мрежови карти трябва да са от различни подмрежи, т.е. като този:

192.168. 0 .1/24
192.168. 1 .1/24

по някаква причина начинаещите много често се сблъскват с това, ако имат например ADSL модем.

1. Настройване на DNS в peer-to-peer мрежа.

Настройки вътрешнимрежа:

192.168.0.1 - IP-адрес на компютъра с Winroute
255.255.255.0 - маска.
192.168.0.1 - като DNS сървър посочете IP адреса на същата мрежа

IP 80.237.0.99 - истински IP
маска 255.255.255.240 - маска
порта 80.237.0.97 - шлюз
dns 80.237.0.97 - DNS на доставчика

Но!Ние не ги забиваме сляпо външенмрежа, но ние го правим малко по наш начин:

IP 80.237.0.99
маска 255.255.255.240
порта 80.237.0.97
dns 192.168.0.1 - като основен DNS сървър, ние посочваме IP адреса на вътрешната мрежа;
80.237.0.97 —посочете DNS сървъра на доставчика като алтернативен DNS сървър

Натискаме Разширено... В раздела DNS премахнете отметката от Регистриране на адресите на тази връзка в DNS, в раздела WINS премахнете отметката от Разрешаване на търсене на LMHOSTS и задайте Деактивиране на NetBIOS през TCP / IP. Също така, квадратче за отметка НЕ ТРЯБВА ДА БЪДЕв Клиент за мрежи на Microsoft, балансиране на мрежовото натоварване, отказ и споделяне на принтери Microsoft Networks.

Между другото, удобно е да преименувате външния интерфейс, да го наречете не Local Area Connection, а например Internet Interface.

След това отидете на контролния панел, Мрежови връзки, в този прозорец (прозорец на Explorer) менюто Разширени -> Разширени опции. В раздела „Адаптери и свързвания“ преместете „Връзка с локална зона“ в най-горната позиция:

На клиентския компютър настройките на мрежовата карта ще бъдат нещо подобно:

IP 192.168.0.2
маска 255.255.255.0
порта 192.168.0.1 -
dns 192.168.0.1 - като основен DNS сървър, ние посочваме IP адреса на компютъра с Winroute

В Winroute, Конфигурация -> DNS Forwarder, поставете отметка в квадратчето "Активиране на DNS пренасочване", посочете DNS сървърите на доставчика.

2. Мрежа с домейн, DNS сървърът е разположен на DC (домейн контролер), отделна машина с инсталиран Winroute се използва като шлюз към Интернет

Настройките не се различават много от предишната версия, по принцип всичко е същото, само:

2.1 В зоните за пренасочване на DNS, зоната "." трябва да бъде премахната, ако има такава. След това рестартирайте услугата "DNS сървър".

2.2 На контролера на домейн, в свойствата на DNS, трябва да разрешите препращане до IP адреса на DNS сървъра на доставчика, в този случай 80.237.0.97 (и не забравяйте да добавите правило към политиката за трафик, което позволява на контролера да се свързва DNS сървъра на доставчика):

2.3 Деактивирайте DNS Forwarder в Winroute (премахнете квадратчето за отметка „Активиране на DNS пренасочване“), тъй като вече го имаме на нашия DNS сървър.

2.4 На домейн контролера в DNS трябва да създадете зона за обратно търсене (правилните администратори вероятно са я създали дори когато DNS е повдигнат), тъй като без него е невъзможно да се определи името на компютъра по IP адреса. Посочваме първите 3 групи цифри от нашия IP адрес като мрежов код.
За да проверите, отидете в свойствата на зоната и се уверете, че има нашия DNS сървър (или сървъри, ако има няколко) в раздела „Сървъри за имена“. Ако няма достатъчно сървъри, ние ги добавяме там. Препоръчително е да направите това с помощта на „Преглед“. Всичко. Остава да активирате динамични актуализации, така че клиентските машини да се регистрират в тази зона, въпреки че можете да направите и без това.

2.5 Настройки на компютъра за вътрешна мрежа с Winroute:

ip 192.168.0.1 - IP-адрес на компютъра с Winroute
маска 255.255.255.0 - маска
dns 192.168.0.100 -

НЕ уточняваме шлюза!

Настройки на външната мрежа:

IP 80.237.0.99
маска 255.255.255.240
порта 80.237.0.97 - като шлюз, ние посочваме IP адреса на шлюза, даден от доставчика
dns 192.168.0.100 - като основен DNS сървър, посочете IP адреса на локалния DNS сървър (DC)

Не посочваме алтернативен DNS сървър!Имаме го в пратката.

2.6 Настройки на клиента:

IP 192.168.0.2
маска 255.255.255.0
порта 192.168.0.1 - като шлюз посочете IP адреса на компютъра с Winroute
dns 192.168.0.100 - като основен DNS сървър, посочете IP адреса на локалния DNS сървър (DC)

2.7 За да проверите клиента, изпълнете командите:

nslookup (GateWayName)
nslookup (GateWayIP)
nslookup yandex.ru
nslookup 213.180.204.11

Ако в резултат на изпълнението на всички горепосочени команди няма съобщения за грешка, тогава всичко се получи за вас.

Поправки и допълнения се приемат.

ОПИСАНИЕ

Основната задача на корпоративната защитна стена е да контролира входящия и изходящия мрежов трафик за съответствие с корпоративната политика за сигурност.

Kerio WinRoute Firewall предоставя възможност за дефиниране на подробни правила за достъп за сканиране на целия интернет трафик и привеждането му в съответствие с корпоративните политики за сигурност. Съветникът за мрежови правила ви помага бързо да настроите и конфигурирате вашата защитна стена.

Kerio WinRoute Firewall е здрава мрежова защитна стена, работеща на TDI / NDIS слоевете на операционната система. Технологията за анализ на входящия и изходящия трафик помага да се осигури най-високо ниво на сигурност за цялата локална мрежа, както и за отделните компютри, работещи в мрежата.

функционалност

Пътна политика

Защита Kerio WinRoute Firewall се основава на правила, прилагани към трафика и ви позволява да конфигурирате пакетни филтри, NAT (превод на мрежов адрес), картографиране на портове и контрол на достъпа в една удобна таблица.

Вграденият съветник за конфигуриране значително опростява процеса на създаване и конфигуриране на необходимите мрежови правила. Настройването на защитна стена и свързването с интернет отнема буквално минути.

Система за предотвратяване на проникване

Предпоставка за сертифициране на ICSA Labs за мрежова защитна стена е способността да се разпознават хакерски атаки и прониквания. Опитите за всички подобни действия се записват в дневника за сигурност.

Анти-подправяне

Anti-spoofing е компонент на филтъра за пакети на Kerio WinRoute Firewall, който осигурява допълнителен слой защита на локалната мрежа срещу атаки, при които хакер използва IP адреса на източника.

Регистрации на защитната стена

Важна характеристика на всеки продукт за системна сигурност е възможността да записва събитията в детайли.

Kerio WinRoute Firewall записва събития в няколко различни журнала - съобщения за грешки, събития за отстраняване на грешки, потребителски настройки, състояние, сърфиране в мрежата, сканиране на портове и т.н.

Регистрацията може да бъде активирана за всяко от правилата, дефинирани в таблицата с правила за движение. Това дава на администратора пълен контрол върху връзките през защитната стена.

Контрол на протокола

Тази функция позволява на отделни приложения със свои собствени протоколи (първоначално не изискващи защитна стена) да работят безопасно в локални мрежи. Много протоколи могат да бъдат сканирани, филтрирани или модифицирани, за да се подобри цялостната надеждност на защитната стена.

Kerio Winroute Firewall - VPN сървър и клиент

За всички съвременни бизнесмени, независимо дали пътуват или работят от вкъщи, сигурната връзка с корпоративната мрежа е задължително условие. С Kerio WinRoute Firewall настройването на VPN е практически без усилие. VPN сървърът и клиентите са част от възможностите за защитен отдалечен достъп на Kerio WinRoute Firewa.

Използването на Kerio VPN позволява на потребителите да се свързват дистанционно с ресурси в корпоративната мрежа, като файлови сървъри, сървъри на бази данни или дори принтери, които обикновено са скрити зад защитна стена и не могат да се използват извън офис мрежата.

Kerio VPN сървър

VPN сървърът, вграден в продукта Kerio WinRoute Firewall, ви позволява да организирате VPN мрежи в два различни сценария:

VPN клиент-сървър (използван от Kerio VPN Client за Windows)

VPN сървър сървър

Режимът сървър към сървър се използва от компании, които искат да се свържат чрез защитен канал към отдалечен офис, за да споделят общи ресурси. Този сценарий изисква защитна стена на Kerio WinRoute от всяка от свързващите се страни, за да установи защитен канал през отворен интернет.

VPN клиент-сървър

Режимът клиент-сървър позволява на отдалечен потребител да свърже сигурно лаптоп или конфигуриран компютър към корпоративната мрежа.

Kerio VPN клиент

Kerio VPN Client е малко приложение, което работи отстрани на свързания компютър. Работи на Windows 2000 и по-нови.

Безклиентски SSL VPN

Kerio WinRoute Firewall 6.1 включва нова услуга, наречена Clientless SSL VPN, която позволява на отдалечени клиенти да имат достъп до споделени файлове на сървъри в локална мрежа с помощта на обикновен браузър. Не е необходимо да инсталирате специален клиентски софтуер.

NAT превод

Както администраторите знаят, VPN и NAT (Превод на мрежови адреси) не винаги работят заедно. Kerio VPN е проектиран да работи надеждно чрез NAT и дори през редица NAT шлюзове.

Kerio VPN използва стандартни алгоритми за криптиране - SSL за контрол на канала (TCP) и Blowfish за трансфер на данни (UDP).

IPSec, Windows и VPN на трети страни

В случаите, когато една компания има определен стандарт за използване на VPN продукти, Kerio WinRoute Firewall включва поддръжка за IPSec и PPTP протоколи, позволяващи използването на различни решения на трети страни.

Също така е разрешено да използвате VPN възможностите, вградени в Windows, което ви позволява да изградите VPN мрежа, използвайки само инструменти на Microsoft Windows и Kerio WinRoute Firewall. Не се изисква софтуер на трети страни. Kerio WinRoute Firewall също поддържа RRAS функционалност, налична в сървърни издания на операционни системи Microsoft Windows.

Kerio Winroute Firewall - Защита от вируси в Интернет

Kerio WinRoute Firewall създава допълнителна защитна стена срещу вируси, като сканира както входящия, така и изходящия трафик:

• - Имейл (SMTP и POP3)
• - уеб (HTTP)
• - прехвърляне на файлове (FTP)

За тази цел са разработени две лицензирани версии:

• 1. Защитна стена на Kerio WinRoute, комбинирана с McAfee Anti-Virus
• 2. Kerio WinRoute Firewall с друг антивирусен софтуер

Предимствата на вирусната защитна стена

Антивирусната защита, инсталирана в локалната мрежа, осигурява пълна защита за целия трафик. Администраторите могат да използват най-новите вирусни „изображения“ на шлюза, което е много по-продуктивно от използването на антивирусен софтуер на всеки компютър.

Защита от вируси по имейл

Kerio WinRoute Firewall проверява входящите и изходящите съобщения, както и всички прикачени файлове. Вирусът, открит в съобщението, се премахва. Ако в прикачен файл бъде открит вирус, целият прикачен файл се изтрива и към съобщението се добавя известие.

Защита на вашата мрежа от вируси

Kerio WinRoute Firewall сканира целия мрежов трафик, включително HTML страници, за вградени вируси. Файловете, изтеглени чрез HTTP, и файловете, прехвърлени чрез FTP, също се сканират за вируси.

Партньорство с McAfee, Inc

Kerio Technologies Inc. с McAfee, Inc. (Network Associates) създаде междуплатформен антивирусен софтуерен продукт за операционни системи Windows, Linux и Mac OS X. Защитната стена на Kerio WinRoute, комбинирана с McAfee, може да получава актуализации с нови вирусни „изображения“ почти на час.

Kerio WinRoute Firewall, комбиниран с McAfee Anti-Virus

Kerio WinRoute Firewall в комбинация с McAfee Anti-Virus е софтуерен пакет, който осигурява пълна защита от вируси на защитната стена за цялата ви мрежа.

В този случай антивирусните настройки се отнасят само до защитата на защитната стена. Инсталацията е проста и последователна, не изисква допълнителни настройки. Чрез комбиниране на софтуерни продукти, всички елементи на сървъра - защита от вируси и защитна стена - са съвместими един с друг.

McAfee AntiVirus се произвежда от McAfee, Inc.

Kerio WinRoute Firewall с друг антивирусен софтуер

Kerio WinRoute Firewall може да работи във връзка с някои антивирусни софтуери от други производители (вижте таблица 2): информация корпоративен прокси сървър

таблица 2

МКС Оранжев уеб филтър

Допълнителен компонент на софтуера Kerio WinRoute Firewall за защита по време на работа в Интернет.

За организации и институции като училища, които не искат техните служители и клиенти да посещават определени интернет страници, Kerio WinRoute Firewall с вграден ISS Orange Web Filter предлага допълнителни опции.

ISS Orange Web Filter предлага списък от 58 категории страници, като електронна търговия, новини, порнография, спорт или пътуване, които могат да бъдат блокирани от защитната стена на Kerio WinRoute.

Цена

ISS Orange Web Filter се продава като добавка към защитната стена на Kerio WinRoute.

Как работи този филтър

Софтуерът Kerio WinRoute Firewall е лесен за използване и различните потребителски групи може да имат ограничен достъп до различни сайтове.

Всеки път, когато потребител се опита да посети сайт, Kerio WinRoute Firewall проверява базата данни на ISS Orange Web Filter, за да види дали тази страница е включена в една от категориите. Ако бъде въведен, тогава Kerio WinRoute Firewall автоматично блокира достъпа до него. Можете също да предупредите потребителя, че администраторът ще знае за неговите действия.

Пълно покритие

Базата данни на ISS Orange Web Filter е една от най-големите, с над 4 милиарда проверени страници и 20 милиона номерирани и групирани URL адреса.

Ако потребител поиска страница, която не е в основната база данни, нейният URL се изпраща на ISS, където се преглежда в рамките на 24 часа.

ISS Orange Web Filter обработва страници на 15 езика.

Висока скорост

Kerio WinRoute Firewall с ISS Orange Web Filter кешира URL адреси в локална база данни. Основната база данни съдържа само URL адреси, до които потребителите нямат достъп.

Основната база данни се съхранява на седем сървъра на ISS, разположени по целия свят, за да осигури бързи отговори.

Подробна статистика

Kerio WinRoute Firewall предоставя подробна статистика за мрежовия трафик за всеки потребител или за цялата организация. Администраторът може да използва тези статистически данни, за да разбере предпочитанията на потребителя и да определи стратегията за използване на мрежовите ресурси.

Kerio Winroute Firewall - Контрол на потребителския достъп

Основната цел на мрежовата сигурност е да се разработи стратегия за достъп до Интернет. Kerio WinRoute Firewall позволява на администраторите не само да създават обща стратегия за използване на трафика, но и да задават и прилагат ограничения за всеки потребител.

Управление на потребители

В Kerio WinRoute Firewall терминът "потребител" може да означава следното:

• - Име и парола на всеки потребител
• - Потребителска група
• - IP адрес или име на компютър
• - Цялата мрежа

Преди да влезе в Интернет, всеки потребител трябва да се регистрира в защитната стена на Kerio WinRoute.

Управление на потребителите с вътрешна потребителска база данни

Потребителските акаунти се съхраняват или в отделна вътрешна потребителска база данни на Kerio WinRoute Firewall, или, ако мрежата е голяма, на отдалечен сървър на Microsoft Active Directory. Можете да работите с тези две бази данни едновременно.

Управление на потребителите с Active Directory

Като част от Windows 2000 Server, Active Directory позволява на администраторите централизирано да управляват потребителски акаунти и информация за мрежовите ресурси. Active Directory предоставя достъп до потребителска информация от един компютър.

Поддръжката на Active Directory предоставя на Kerio WinRoute Firewall достъп в реално време до потребителската база данни и ви позволява да инсталирате потребител в локалната мрежа, без да запазвате парола. По този начин няма нужда да синхронизирате пароли за всеки потребител. Всички промени в Microsoft Active Directory се отразяват автоматично в защитната стена на Kerio WinRoute.

Контрол на достъпа

Администраторът може да зададе различни ограничения за правата за достъп за всеки потребител. Например, някои потребители могат да посещават само вътрешни страници, други могат да работят само с електронна поща. Тези права се конфигурират само според определен график, така че могат да се задават само на определени интервали.

Ограничения на движението

Някои потребители изтеглят много файлове, слушат радио през интернет и си изпращат домашни видеоклипове. Често, ако един потребител заема твърде много трафик, това се отразява на качеството на връзката на други потребители.

За да успокои такива потребители, администраторът може да зададе ограничения за използването на трафик. Не може да бъде:

• - Ограничения за качвания, изтегляния или и двете.
• - Ограничение на трафика на ден или на месец
• - Всяка комбинация от първа и втора точки

Когато лимитът бъде достигнат, Kerio WinRoute Firewall ще изпрати предупреждение по имейл до потребителя и администратора. Като алтернатива, администраторът може да блокира този потребител до края на деня или месеца.

Kerio Winroute Firewall - Администриране

Статистика и отчитане (Star)

Модулът StaR може да се използва за показване на използването на интернет от служителите. Статистическите данни се показват като графики, показващи потреблението на трафик извън работния поток, ограниченията на ресурсите и други проблеми. Отчетите съдържат информация за това колко трафик е използван, основните посетени сайтове и, в комбинация с опционалния (IBM) модул ISS Orange Web Filter, процента на най-посещаваните ресурси по категории. StaR може да се използва отдалечено през браузър, без да е необходимо оторизация в Административната конзола.

Дистанционно управление

Системният администратор конфигурира програмата, управлява потребителски акаунти и политика за сигурност чрез административната конзола на Kerio. Може да се инсталира на компютър с вече инсталирана защитна стена или на отдалечен компютър, свързан към интернет. Обменът на данни между отдалечената конзола и защитната стена се извършва по криптиран канал.

Известия по имейл

Понякога администраторът не може да следи всичко, което се случва със системата на защитната стена. Kerio WinRoute Firewall помага за проследяване на критични събития като прекъсване на връзката с мрежата, претоварване на потребителския трафик, откриване на вируси или изтичане на лиценза.

Всяко такова събитие се съобщава на администратора по електронна поща, като той сам може да избере за кои събития да бъде уведомен.

Статистика и графика за използване на трафика

Точната и обмислена статистика помага на администратора да разбере предпочитанията на потребителите при използване на интернет, да намери критични елементи и проблеми.

Kerio WinRoute Firewall генерира подробна хистограма на използването на трафика за всеки потребител в мрежата. Администраторът може да избере периода, за който иска да проследява използването на трафика: 2 часа, 1 ден, 1 седмица и 1 месец.

В допълнение, Kerio WinRoute Firewall показва статистика за действителното използване на трафика по неговите типове: HTTP, FTP, електронна поща, поточни мултимедийни протоколи, обмен на данни директно между компютри или прокси сървъри.

Ако стартирате ISS Orange Web Filter, Kerio WinRoute Firewall показва статистика на посещенията на интернет страници за всеки потребител и за цялата организация.

Характеристики на програмата

Използвани методи за интернет връзка

Поддръжката за DSL, dial-up, ISDN, сателитен интернет, комутируем и безжичен интернет ви позволява да инсталирате Kerio WinRoute Firewall в мрежи от всякакъв размер навсякъде. Няколко потребители могат да използват една връзка наведнъж.

Изгубена връзка

Ако Kerio WinRoute Firewall открие прекъсната връзка, тя автоматично преминава към резервната. За резервната връзка може да се използва всеки мрежов или модемен адаптер.

NAT и прокси

Бърз достъп до Интернет благодарение на две различни технологии: превод на мрежови адреси (NAT) и прокси сървър.

NAT рутер осигурява интернет достъп до всички компютри в локалната мрежа и работи с почти всеки протокол. Когато използвате NAT, не се изискват допълнителни настройки на всеки компютър.

Прокси сървърът се използва като клиентски компютър на отдалечен сървър. Поради сложността на тази технология се поддържат само няколко протокола. Вярно е, че той има функции като удостоверяване и контрол на потребителския достъп.

DNS механизъм за пренасочване

Вграденият механизъм за пренасочване на DNS създава DNS заявка всеки път, когато потребител посети уебсайт. Той изпраща тази заявка до избрания DNS сървър и съхранява последните получени резултати за известно време. Отговорът на последователни заявки идва незабавно.

DHCP сървър

DHCP сървърът присвоява IP конфигурационни параметри на всеки компютър в LAN, което прави мрежовата администрация много по-лесна.

HTTP прокси кеш сървър

H.323 и SIP

Валидаторите на протокола Kerio помагат на защитните стени да работят правилно с VoIP телефония или видео предаване. Kerio WinRoute Firewall работи с VoIP устройства, използващи H.323 или SIP протоколи, свързани към защитена мрежа. Тоест, няма нужда да свързвате VoIP оборудване към интернет.

Cisco SCCP

Ако една компания иска да използва VoIP оборудване в среда на Cisco AVVID, Cisco Skinny Client Control Protocol (SCCP) се използва за установяване на връзка между IP телефона и Cisco CallManager. Разбира се, защитните стени трябва да го разпознаят и да разбират информацията, която се предава.

Kerio WinRoute Firewall автоматично разпознава SCCP протокола и извършва преобразуване на мрежов адрес между IP телефона и Cisco CallManager. Тъй като Kerio WinRoute Firewall извършва преобразуване на IP адрес динамично, администраторът не трябва ръчно да конфигурира IP адреса за всеки IP телефон.

Поддръжка на UPnP

Стандартът Universal Plug and Play (UPnP), използван в Windows, позволява на различни приложения да работят едно с друго без допълнителни настройки на защитната стена. Kerio WinRoute Firewall работи с UPnP технология, така че приложения като MSN Messenger могат да работят безпроблемно.

Минимални системни изисквания

Защитна стена на Kerio WinRoute

• 256 MB RAM
• 20 MB HDD за инсталация

Допълнително свободно място за логове и кеш

Най-малко 2 мрежови интерфейса (включително комутируем)

Windows 2000 / XP / 2003 / Vista

Kerio VPN клиент

• 128 MB RAM
• 5 MB твърд диск

Windows 2000 / XP / 2003 / Vista

Разходи за внедряване

Тъй като в нашата организация броят на компютрите е около 150, то в нашия избор попада лиценз с 250 потребители. Цената се изчислява по следния начин: (основен за 5 потребители) + (допълнителен за 250 потребители). Курс евро към рубла = 41,4

Kerio Control (напр. Kerio WinRoute Firewall): 241.9 * 41.4 + 5605 * 41.4 = 10014.66+ 232047 = 242 061.66 r

Уеб филтрирането също е необходимо, особено след като в Trafic inspector тази функция е включена в цената на софтуера и не е подчертана като отделна опция.

Kerio Web Filter = 28 * 41,4 + 250 * 443 = 1159,2+ 10350 = 11509,2r

Общо получаваме: 11509,2 + = 242 061,66 = 253 570,86 рубли за 255 лиценза!

Как да конфигурирате разпространението на Интернет към потребителите чрез NAT в защитната стена на Kerio Winroute. Конфигуриране на NAT в защитната стена на Kerio Winroute.

Даден - Server Windows 2003 Server EE, с инсталирана и конфигурирана Kerio Winroute Firewall 6.4.2.

Цел - Да се ​​освободи системният администратор в Интернет не чрез прокси, както всички останали, а чрез NAT. За пускане на брояч и webmoney. Отивам...

Първо, нека създадем ново правило в секцията Пътна политика... Ще се извика в началото Ново правило.

След това трябва да добавите източник. Тоест компютърът на този, който ще има достъп до Интернет. В нашия случай това е компютърът на системния администратор. Написах DNS името на компютъра в домейна - sysadmin.local... Можете също да напишете IP адрес. Зависи от ситуацията.

След добавяне Източнике необходимо да се добави и Дестинация... В нашия случай това е мрежова връзка с име Internet. Натискаме Добавяне -> Мрежов интерфейси изберете нашата интернет връзка от списъка.

След като добавим тези параметри към нашето правило. Ние, така да се каже, намекваме на компютъра, че машината sysadmin.localима достъп до мрежова връзка интернет... След това трябва да посочим вида на връзката, портовете и услугите, чрез които той ще има този достъп.

На полето Обслужваненяма да добавим нищо. Вече има смисъл Всякакви... Obo казва, че достъпът е отворен за всички пристанища и услуги.

В раздела Преводпо подразбиране е празно. Това не ни интересува, така че кликнете върху празното поле в раздела Преводи виждаме прозорец (Редактиране на превода) NAT настройките пред вас.

Трябва само да позволим на потребителя да влезе онлайн на всички портове. Затова избираме параметъра „Превод на IP адреса на изходящия интерфейс (типични настройки)“... С това правило казваме на Kerio, че целият изходящ трафик от потребителя трябва да се излъчва директно към Интернет. Можете да изберете всеки интерфейс, където пакетите ще бъдат преведени, и IP адреса. Но сега не ни трябва.

Щракнете върху OK и вижте нашето правило. Всичко изглежда е ок, но не става :) И защо?

Забравихте да разрешите правилото и щракнете върху бутона Приложи... За да активирате правилото, щракнете върху празното поле под раздела Действиеи изберете параметъра там Разрешение.

Сега нашето правило изглежда така:

И работи. Потребителят има NAT изходящ достъп до Интернет. Може да играе counter, warcraft и да стартира Webmoney.

Персонализиране Kerio VPN сървърза свързване на отделни VPN клиенти.

VPN сървърът се използва за свързване на отдалечените краища на VPN тунели и отдалечени клиенти, които използват Kerio VPN клиент .VPN сървър достъпни в раздела Интерфейси (интерфейси)в секцията Настройки / Интерфейси (Конфигурация / Интерфейси)като отделен интерфейс.

Отиваме в този раздел и сред интерфейсите виждаме VPN сървъра, който искаме. При двукратно щракване върху интерфейса на VPN сървъра се отваря диалогов прозорец, който ви позволява да зададете параметрите на VPN сървъра (можете също да изберете интерфейса и да щракнете върху Редактиране или да изберете Редактиране от контекстното меню).

В прозореца, който се отваря, трябва да активирате VPN сървъра (Активиране на VPN сървър). И посочете IP адреса на мрежата за VPN клиенти. В моята мрежа всички локални потребители имат адреси като 192.168.100.xxx, а всички VPN клиенти са 192.168.101.xxx

По подразбиране (при първо стартиране след инсталиране) WinRouteавтоматично избира безплатна подмрежа, която да се използва за VPN. При нормални обстоятелства няма нужда да променяте мрежата по подразбиране. Имайтеуверете се, че подмрежата на VPN клиентите не е в конфликт с локалната подмрежа!

В раздела DNS трябва да посочите DNS сървърите, които ще бъдат присвоени на вашите VPN клиенти. Може да е необходимо в мрежа на домейн, където се изисква достъп до компютри чрез NS имена.

Използване на специфични DNS сървъри Тази опция ви позволява да посочите основния и вторичния DNS сървър за VPN клиенти. Ако локалната мрежа не използва DNS пренасочващи друг DNS сървър, след което използвайте тази опция.

Моите потребители не използват NS имена, така че тук оставих всичко без изключения.

Не ми трябва и раздела Разширени, но все пак ще пишем за него.

Listen on port - Портът, на който VPN сървърът приема входящи връзки (използват се TCP и UDP протоколи). Портът по подразбиране е 4090 (обикновено няма нужда да променяте порта).

бележки:

1. Ако VPN сървърът вече работи, когато портът се промени, връзката с всички VPN клиенти ще бъде автоматично прекъсната.
2. Ако VPN сървърът не може да работи на посочения порт (портът се използва от друга услуга), щракването върху бутона Приложи в регистъра на грешките (вижте глава Дневник на грешките) ще покаже следното съобщение за грешка: (4103: 10048) Грешка в сокета: Не може да се свърже сокет за услуга към порт 4090.
   (5002) Неуспешно стартиране на услугата „VPN“
   обвързан с адрес 192.168.1.1.

   За да се уверите, че посоченият порт наистина е свободен, проверете регистъра на грешките за такива записи.

Персонализирани маршрути

В този раздел можете да дефинирате други мрежи, към които ще се установяват маршрути през VPN тунела. По подразбиране маршрутите към всички локални подмрежи се дефинират от страната на VPN сървъра - вижте главата Информация за маршрутизиране на Exchange).

съвет:използвайте мрежова маска 255.255.255.255, за да дефинирате маршрут до конкретен хост. Това може да помогне например при добавяне на маршрут към възел в DMZ от страната на VPN сървъра.

Първото правило позволява на потребителите от интернет към VPN сървъра, използвайки Kerio VPN протокол (порт 4090).

Тук ще бъдат показани свързаните потребители. В настройките на самите потребители можете да конфигурирате дали VPN сървърът ще издава адреси на клиенти или можете да зададете конкретен IP адрес в мрежата на всеки VPN клиент.

Това е всичко. Ако нещо не е ясно, моля, отидете тук.

Като наследство от предишния администратор ми остана много сложна система за разпространение в Интернет. UserGate 2.8 беше инсталиран на Windows XP. Самата машина имаше 2 мрежови интерфейса (LAN и Интернет). Всичко това се въртеше на обикновен работен плот. Логическата структура на разпределението също беше много интересна:
1. Всички потребители бяха разделени на групи в зависимост от квотата на трафика (т.е. 100mb, 200mb, 300mb, само ICQ и т.н.) Имаше около 10 групи.
2. Потребителите бяха упълномощени от IP адреса на компютъра (когато компанията имаше 20 компютъра в работна група със статични адреси, всичко все още беше поносимо, сега има около 150 потребители, съответно, приблизително същия брой компютри).
С течение на времето се появиха и други проблеми:
1. Броят на потребителите нарасна.
2. Упълномощаването от ip донесе много проблеми. Много е трудно да се проследяват движенията на потребителите, а потребителският трафик е оставен незащитен.
3. Инфраструктурата на компанията от работната група е прехвърлена в домейна.
4. Стабилността на доставчика оставя много да се желае. Следователно интернет беше свързан от друг доставчик.
5. Хардуерът, на който работеше проксито, не трябваше да живее дълго.
Подготвил съм план за преминаване към друг прокси сървър.
Да започваме. Планиране
1. Необходимо е да решим какво искаме (т.е. от каква функционалност се нуждаем).
2. На каква платформа ще работи всичко.
3. Как да оторизирате потребители
4. Как да разделим потребителите.
5. Други екстри.
Отговорите точка по точка.
1. Необходимо е:
1.1 Нуждаем се от прокси сървър, който слуша локалния интерфейс на конкретен порт и прави заявки до 2 други мрежови интерфейса, които гледат към Интернет.
1.2 Също така е необходимо да се разпредели натоварването между 2 доставчици и пренасочване на заявки към един доставчик, ако другият не успее.
1.3 Поддръжка на NAT също е необходима, за да работи пощенският сървър.
1.4 Потребителски групи трябва да идват от AD и да се удостоверяват с паролата на своите акаунти.
1.5 Възможност за издаване на квота на потребителя според броя на получените мегабайти.
1.6 Гъвкави политики за HTTP и FTP.
1.7 Статистика на уеб сървъра за потребителите
2. Платформа:
За платформа беше избрана виртуална машина на Xen Server.
Следните опции бяха разгледани като пакет OS + прокси.
FreeBSD + калмар + ipfw + Samba + SARG (FreeBSD + калмар + ipfw + SAMBA +)
Windows + UserGate 5 (www.usergate.ru/)
Windows + Kerio Winroute Firewall 6 (www.kerio.ru/ru/firewall)
Изборът беше направен на Windows + Kerio Winroute Firewall 6 (ще ви кажа защо Kerio в следващата статия)
3 Упълномощаване на потребителя.
Решено е да се използва Active Directory като потребителска база данни и да се оторизира чрез вход и парола от AD.
4. Квотната система е опростена до 4 групи - 300mb, 500mb, unlim, ICQ + корпоративни сайтове.
Разгръщане и експлоатация.
1. Тъй като беше решено да се прехвърли прокси сървъра към сървъра за виртуализация (което беше описано по-горе). Беше необходимо да се добавят 2 мрежови карти (за интернет връзка). Описано е как се прави.
2. Създайте VM и спрете Windows XP. Правим всички необходими настройки за ОС.
3. Конфигуриране на мрежата. Първият локален интерфейс получава всички настройки от DHCP (който работи на домейн контролер)
Преместваме втория интерфейс в подмрежата 192,168,1,0
Преместваме третия интерфейс в подмрежата 192,168,2,0
Към тях са свързани модеми.
Проверяваме производителността на мрежата с командите traceroute и ping.
4. Инсталирайте защитната стена на Kerio Winroute
5. И го конфигурирайте (вземаме документацията от уебсайта на kerio).
Няма нищо трудно в настройките. Но има някои клопки.
1. Когато конфигурираме nat за пощенски сървър, ние обвиваме целия трафик към порт 110 и 25 към ip адреса на пощенския сървър. Проблемът възниква, ако един от потребителите използва поща на сървъри на трети страни (например mail.ru и google.ru) чрез пощенски клиенти. Решението на този проблем може да бъде или използване на поща през уеб интерфейса на тези сайтове, или настройка на препращане на поща от сайт на трета страна към корпоративен пощенски сървър.
2. Защото има разпределение на натоварването и толерантност към грешки на 2 канала, тогава има смисъл да направите някои промени в DNS записа на вашия пощенски домейн.
например
имате запис в DNS
MX xxx.xxx.xxx.xxx 10 mail.domen.ru
където xxx.xxx.xxx.xxx е IP адресът, даден ви от доставчика
направи още един запис
MX xxx.xxx.xxx.xxx 20 mail.domen.ru
където xxx.xxx.xxx.xxx е IP адресът, даден ви от втория доставчик.
С такива DNS записи сървърът за препращане на поща ще провери наличността на първия IP адрес и, ако той не е наличен, ще достави писма до втория IP адрес.
3. Ако промените порта и адреса на прокси сървъра, то за да не се върти из офиса е достатъчно да посочите настройките на прокси сървъра в групови политики, които ще се прилагат автоматично. Но това важи за онези браузъри, които имат настройките за вземане на прокси от системния параметър в настройките. Ако например потребител в Mozilla има ръчна настройка за прокси, тогава все пак трябва да отидете при него. Въпреки че... не мога да кажа със сигурност. всички потребители в моята компания използват IE.
4. Kerio има един голям недостатък. Няма начин да зададете квота на група. Има шаблон за квота за всички потребители или трябва да зададете квота ръчно за всеки потребител.
Е, всичко изглежда е така.
Сървърът вече е в преходен режим, т.е. изключваме клиенти от стария и ги свързваме към новия. Днес Kerio се използва от около 65 потребители. Нямаше специални проблеми освен описаните по-горе.
Така че благодаря на всички за вниманието. Изчакайте продължението.